Zo gijzel je een netwerk, in twaalf stappen

Cybercrime Aanvallen met gijzelsoftware, zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?
Bron: nrc.nl

NRC sprak met experts van NFIR,  Fox-IT, KPN Security en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. 

Bron: NRC

Zo gijzel je een netwerk, in twaalf stappen

Cybercrime Aanvallen met gijzelsoftware, zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?

10. Beheer op afstand

Om controle te houden over het netwerk moet de hacker op afstand commando’s versturen zonder dat dat opvalt in het netwerk. Bijvoorbeeld door veelgebruikte netwerkpoorten te kiezen, dataverkeer te versleutelen of onzindata toe te voegen. Ook de oorsprong van het netwerkverkeer kan verdoezeld worden om te voorkomen dat monitoringsystemen de command & control-server ontdekken en blokkeren. Overigens draait op lang niet alle bedrijfsnetwerken adequate monitorsoftware.

11. Data verzamelen

Als hackers van plan zijn (ook) data te stelen worden de gegevens in het geheim verzameld en verpakt in kleinere bestanden door middel van compressie. Deze gegevens worden vaak in kleine delen opgeknipt en versleuteld verstuurd, om niet op te vallen in het overige netwerkverkeer.

12. De aanslag

Na al het verborgen werk slaan de hackers toe, liefst op een rustig tijdstip. Het encryptieproces kan al in een paar uur achter de rug zijn. In het geval van ransomware worden processen afgesloten, zodat alle bestanden versleuteld kunnen worden. In elke map blijft een leesbaar document achter met het verzoek om losgeld te betalen. Hetzelfde beheergereedschap dat gebruikt wordt om honderden werkplekken tegelijk te configureren, wordt nu ingezet om alle bestanden te versleutelen.

Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk

Arwi van der Sluijs NIFR

Wat doe je er tegen?

Arwi van der Sluijs van NFIR onderzocht onder meer de ransomware aanval op de gemeente Lochem, vorig jaar. Hij gaat er vanuit dat het beheer bij de Universiteit Maastricht te kort schoot: „Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk. Er wordt bijvoorbeeld niet gecontroleerd welke netwerkpoorten open staan en de wachtwoorden zijn te simpel te kraken.”

Vaak zijn netwerken wel beschermd tegen aanvallen van buitenaf, maar worden intern te weinig drempels opgeworpen. Microsoft maakte een handleiding hoe je een netwerk opdeelt in meerdere lagen, maar segmenteren van een bestaand systeem is niet eenvoudig. Computers die elkaar alleen kunnen bereiken via de hoogst noodzakelijke poorten zijn een hindernis voor hackers, maar ook voor gebruikers en it-beheerders.

Systeembeheerders zijn zich doorgaans wel bewust van de kwetsbaarheden, maar beschikken over te weinig tijd of het budget is te beperkt om daar iets aan te doen. Het lukt hen niet leidinggevenden te overtuigen van de risico’s van ransomware. Alles werkt toch?

Er zijn ook genoeg slechte gewoonten om af te leren: uitgestelde updates, vergeten servers, verouderde applicaties, backups die op een te toegankelijke plek worden opgeslagen. Andere zwakke plekken: admins die ‘admin’ heten, een lokaal beheerderswachtwoord dat op elke werkplek identiek is en systeembeheerders die toegang hebben tot cruciale onderdelen van het netwerk op dezelfde computer waarop ze e-mail ontvangen en kunnen browsen.

Dankzij anonieme betaalmiddelen als bitcoin kon ransomware uitgroeien tot een succesvolle industrie, met geautomatiseerde diensten die je als cybercrimineel kunt inhuren. Een lijst met gekraakte computers, om te beginnen. Maar ook kant-en-klare ransomwaresoftware en een helpdesk die het losgeld int en na afloop het slachtoffer tipt om het ontsleutelde netwerk eerst eens goed te scannen. Je weet nooit of zich niet nóg een ransomwaregroep heeft genesteld.

Correctie 11-1: de juiste spelling van het beveiligingsbedrijf is NFIR, niet NIFR.

Penetratietest laten uitvoeren?

NFIR rapporteert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.0)
Pentest
  1. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security.
  2. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden. Bij een pentest bestaat aandacht voor alle potentiële zwakheden.
  3. Bij vulnerabilityscanning wordt gebruik gemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een pentest wordt ook gebruik van gemaakt geautomatiseerde scans en daarnaast gaat de onderzoeker middels een dosis creativiteit actief op zoek naar kwetsbaarheden. 

Pentest of vulnerability-assessment? – Penetratietest laten uitvoeren? – Neem nu contact op met NFIR

lees 7 belangrijke vragen bij pentesten​

Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.

Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.

Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging. Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden. De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan.

De NFIR Pentest: hoe ondoordringbaar is uw netwerk?

Met de NFIR Pentest kunt u zekerheid en advies krijgen over de veiligheid van uw netwerk. NFIR voor vrijblijvend advies: 088 – 323 0205

De drie belangrijke standaarden die NFIR gebruikt (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP). Door middel van het Common Vulnerability Scoring System (versie 3) wordt  de ernst van een kwetsbaarheid bepaald. Verder gebruikt NFIR input van de opdrachtgever om een CIA weging toe te passen op de gevonden kwetsbaarheden.